Можете да разрешите на Cisco Unified Communications Manager да работи в подобрена среда за защита. С тези подобрения телефонната ви мрежа работи под набор от строги контроли за сигурност и управление на риска, за да защити вас и вашите потребители.

Подобрената среда за защита включва следните функции:

  • Удостоверяване на търсене на контакти.

  • TCP като протокол по подразбиране за отдалечено регистриране на проверка.

  • FIPS режим.

  • Подобрена политика за данните за вход.

  • Поддръжка за SHA-2 семейството хешове за цифрови подписи.

  • Поддръжка за размер на ключа на RSA от 512 бита и 4096 бита.

С Cisco Unified Communications Manager Release 14.0 и Cisco Video Phone Firmware Release 2.1 и по-нови версии, телефоните поддържат SIP OAuth удостоверяване.

OAuth се поддържа за прокси тривиален протокол за прехвърляне на файлове (TFTP) с Cisco Unified Communications Manager Release 14.0(1)SU1 или по-нова версия. Прокси TFTP и OAuth за прокси TFTP не се поддържат от Mobile Remote Access (MRA).

За допълнителна информация относно защитата вижте следното:

Телефонът ви може да съхранява само ограничен брой файлове за идентичност в надежден списък (ITL). ITL файловете не могат да надхвърлят 64K на телефона, така че ограничете броя на файловете, които Cisco Unified Communications Manager изпраща на телефона.

Поддържани функции за защита

Функциите за защита предпазват от заплахи, включително заплахи за идентичността на телефона и за данните. Тези функции установяват и поддържат удостоверени комуникационни потоци между телефона и Cisco Unified Communications Manager server и гарантират, че телефонът използва само цифрово подписани файлове.

Cisco Unified Communications Manager версия 8.5 (1) и по-нова включва защита по подразбиране, която предоставя следните функции за защита за Cisco IP телефоните без изпълнение на CTL клиент:

  • Подписване на конфигурационните файлове на телефона

  • Шифроване на конфигурационните файлове на телефона

  • HTTPS с Tomcat и други уеб услуги

Функциите за сигурна сигнализация и мултимедия все още изискват от вас да стартирате CTL клиента и да използвате хардуерни eTokens.

Внедряването на защита в системата на Cisco Unified Communications Manager предотвратява кражбата на идентичност на телефона и на Cisco Unified Communications Manager server, предотвратява подправянето на данни и предотвратява сигнализирането на повиквания и подправянето на медийния поток.

За да облекчи тези заплахи, мрежата за Cisco IP телефония установява и поддържа сигурни (шифровани) комуникационни потоци между телефона и сървъра, цифрово подписва файлове, преди да бъдат прехвърлени на даден телефон, и шифрова медийните потоци и сигнализацията на повиквания между Cisco IP телефоните.

На телефоните се инсталира местно приложим сертификат (LSC), след като изпълните необходимите задачи, свързани с прокси функцията на органа за сертификати (CAPF). Можете да използвате Cisco Unified Communications Manager Administration, за да конфигурирате LSC, както е описано в ръководството за защита на Cisco Unified Communications Manager. Като алтернатива можете да започнете инсталирането на LSC от менюто Настройки за сигурност на телефона. Това меню също ви позволява да актуализирате или премахвате LSC.

Не може да се използва LSC като потребителски сертификат за EAP-TLS с WLAN удостоверяване.

Телефоните използват профила за защита на телефона, който определя дали устройството е незащитено, или защитено. За информация относно прилагането на профила на защитата към телефона вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

Ако конфигурирате настройки, свързани със защитата, в Cisco Unified Communications Manager Administration, конфигурационният файл на телефона съдържа поверителна информация. За да гарантирате поверителността на даден конфигурационен файл, трябва да го конфигурирате за шифроване. За подробна информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

Телефонът отговаря на Федералния стандарт за обработка на информация (FIPS). За да функционира правилно, FIPS режимът изисква размер на ключа от 2048 бита или по-голям. Ако сертификатът е по-малък от 2048 бита, телефонът няма да се регистрира в Cisco Unified Communications Manager и на телефона се показва Телефонът не успя да се регистрира. Размерът на ключа сертификата не е съвместим с FIPS.

Ако телефонът има LSC, трябва да актуализирате размера на ключа LSC до 2048 бита или повече, преди да активирате FIPS.

Следващата таблица предоставя общ преглед на функциите за защита, които телефоните поддържат. За повече информация вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

За да видите режима на защита, натиснете Настройки твърдия клавиш Настройки и отидете до Настройки за мрежа и услуга >Защита.

Таблица 1. Общ преглед на функциите за защита

Функция

Описание

Удостоверяване на изображение

Подписаните двоични файлове предотвратяват подправянето на изображението на фърмуера, преди изображението да се зареди на телефона.

Подправянето на изображението води до това, че телефонът проваля процеса на удостоверяване и да отхвърля новото изображение.

Инсталиране на сертификат за сайт на клиент

Всеки Cisco IP телефон изисква уникален сертификат за удостоверяване на устройството. Телефоните включват фабрично инсталиран сертификат (MIC), но за допълнителна сигурност можете да зададете инсталиране на сертификат в Cisco Unified Communications Manager Administration с помощта на прокси функцията на органа за сертификати (CAPF). Като алтернатива можете да инсталирате местно приложим сертификат (LSC) от менюто за конфигуриране на защитата на телефона.

Удостов. на у-вото

Възниква между Cisco Unified Communications Manager server и телефона, когато всеки обект приема сертификата на другия обект. Определя дали трябва да възникне защитена връзка между телефона и Cisco Unified Communications Manager; и ако е необходимо, създава защитен сигнален път между обектите, като използва TLS протокол. Cisco Unified Communications Manager не регистрира телефони, освен ако не може да ги удостовери.

Удостоверяване на файлове

Проверява цифрово подписаните файлове, които телефонът изтегля. Телефонът проверява подписа, за да се увери, че файлът не е подправен след създаването му. Файловете, които не бъдат удостоверени, не се записват във флаш паметта на телефона. Телефонът отхвърля такива файлове без по-нататъшна обработка.

Шифроване на файлове

Шифроването предотвратява разкриването на чувствителна информация, докато файлът се прехвърля към телефона. В допълнение телефонът проверява подписа, за да се увери, че файлът не е подправен след създаването му. Файловете, които не бъдат удостоверени, не се записват във флаш паметта на телефона. Телефонът отхвърля такива файлове без по-нататъшна обработка.

Удостоверяване на сигнализиране

Използва TLS протокола, за да потвърди, че по време на предаването не е имало подправяне на пакетите за сигнализиране.

Фабрично инсталиран сертификат

Всеки Cisco IP телефон съдържа уникален фабрично инсталиран сертификат (MIC), който се използва за удостоверяване на устройството. MIC предоставя постоянно уникално доказателство за идентичност на телефона и позволява на Cisco Unified Communications Manager да удостоверява телефона.

Шифроване на мултимедия

Използва SRTP, за да гарантира, че медийните потоци между поддържаните устройства се оказват сигурни и че само предвиденото устройство получава и чете данните. Включва създаване на двойка основни ключове за устройствата, доставяне на ключовете към устройствата и осигуряване на защитена доставка на ключовете при транспортирането им.

CAPF (прокси функция на органа за сертификати)

Изпълнява части от процедурата за генериране на сертификати, които са твърде интензивни за обработка за телефона, и взаимодейства с телефона за генериране на ключове и инсталиране на сертификат. CAPF може да бъде конфигуриран да изисква сертификати от зададени от клиента сертифициращи органи от името на телефона или може да бъде конфигуриран да генерира сертификати локално.

Поддържат се както EC (елиптична крива), така и RSA тип ключове. За да използвате ключа EC, уверете се, че параметърът "Поддръжка на разширени алгоритми за шифроване на крайна точка" (от параметъра System >Enterprise) е разрешен.

За повече информация относно CAPF и свързаните с него конфигурации вижте следните документи:

Профил на защитата

Определя дали телефонът е незащитен, удостоверен, шифрован, или защитен. Други записи в тази таблица описват функциите за защита.

Шифровани конфигурационни файлове

Позволява ви да гарантирате поверителността на конфигурационните файлове на телефона.

Незадължително деактивиране на уеб сървър за телефон

От съображения за сигурност можете да предотвратите достъпа до уеб страниците за даден телефон (които показват различни оперативни статистически данни за телефона) и портала за самообслужване.

Повишаване на защитата на телефона

Допълнителни опции за защита, които контролирате от Cisco Unified Communications Manager Administration:

  • Деактивиране на компютърен порт
  • Деактивиране на Gratuitous ARP (GARP)
  • Деактивиране на достъп до гласовия VLAN на компютъра
  • Деактивиране на достъпа до менюто за настройка или предоставяне на ограничен достъп
  • Деактивиране на достъпа до уеб страници за телефон
  • Деактивиране на порта за принадлежност за Bluetooth
  • Ограничаване на TLS шифри

Удостов. с 802.1X

Cisco IP телефонът може да използва удостоверяване съгласно 802.1X, за да поиска и получи достъп до мрежата. Вижте Удостоверяване съгласно 802.1X за повече информация.

Защитено превключване към резервен сървър на SIP за SRST

След като конфигурирате препратка за възстановяема телефония на отдалечения обект (SRST) за защита и след това нулирате зависимите устройства в Cisco Unified Communications Manager Administration, TFTP сървърът добавя SRST сертификат към cnf.xml файла на телефона и изпраща файла на телефона. След това защитен телефон използва TLS връзка, за да взаимодейства с маршрутизатора с активиран SRST.

Шифроване на сигнализиране

Гарантира, че всички съобщения за SIP сигнализиране, които се изпращат между устройството и Cisco Unified Communications Manager server, са шифровани.

Аларма за актуализация на надежден списък

Когато надеждният списък се актуализира на телефона, Cisco Unified Communications Manager получава аларма, която показва успеха или неуспеха на актуализацията. Вижте следната таблица за повече информация.

AES 256 шифроване

Когато са свързани към Cisco Unified Communications Manager версия 10.5 (2) и по-нова, телефоните поддържат AES 256 шифроване за TLS и SIP за сигнализиране и шифроване на мултимедия. Това позволява на телефоните да инициират и поддържат TLS 1.2 връзки, използвайки базирани на AES-256 шифри, които отговарят на стандартите на SHA-2 (Защитен алгоритъм за хеширане) и са съвместими с Федералните стандарти за обработка на информация (FIPS). Шифрите включват:

  • За TLS връзки:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • За sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

За повече информация вижте документацията на Cisco Unified Communications Manager.

Сертификати за Elliptic Curve Digital Signature Algorithm (ECDSA)

Като част от сертифицирането по Общите критерии (CC) Cisco Unified Communications Manager; добавени са сертификати за ECDSA във версия на софтуера 11.0. Това засяга всички продукти на гласовата операционна система (VOS), работещи с CUCM 11.5 и по-нови версии.

Сертификат за многосървърен (SAN) Tomcat със Cisco UCM

Телефонът поддържа Cisco UCM с конфигурирани многосървърни (SAN) Tomcat сертификати. Правилният адрес на TFTP сървъра може да бъде намерен в ITL файла на телефона за регистрация на телефона.

За повече информация относно функцията вижте следното:

Следващата таблица съдържа алармените съобщения и значението на актуализирането на надеждния списък. За повече информация вижте документацията на Cisco Unified Communications Manager.

Таблица 2. Алармени съобщения за актуализиране на надеждния списък
Код и съобщение Описание

1 - TL_SUCCESS

Получен нов CTL и/или ITL

2 - CTL_INITIAL_SUCCESS

Получен нов CTL, няма съществуващ TL

3 - ITL_INITIAL_SUCCESS

Получен нов ITL, няма съществуващ TL

4 - TL_INITIAL_SUCCESS

Получен нов CTL и ITL, няма съществуващ TL

5 - TL_FAILED_OLD_CTL

Неуспешна актуализация до нов CTL, но има предишен TL

6 - TL_FAILED_NO_TL

Неуспешна актуализация до нов TL и няма стар TL

7 - TL_FAILED

Обща неизправност

8 - TL_FAILED_OLD_ITL

Неуспешна актуализация до нов ITL, но има предишен TL

9 - TL_FAILED_OLD_TL

Неуспешна актуализация до нов TL, но има предишен TL

Менюто за настройка на защитата предоставя информация за различните настройки за защита. Менюто също така предоставя достъп до менюто на надеждния списък и показва дали CTL или ITL файлът е инсталиран на телефона.

Следващата таблица описва опциите в менюто за настройка на защитата.

Таблица 3. Меню за настройка на защитата

Опция

Описание

За промени

Защитен режим

Показва режима на сигурност, зададен за телефона.

От Cisco Unified Communications Manager Administration изберете Устройство > Телефон. Настройката се появява в частта със специфична информация за протокола на прозореца за конфигуриране на телефона.

LSC

Показва дали локално значим сертификат, който се използва за функции за защита, е инсталиран на телефона (Инсталиран), или не е инсталиран на телефона (Не е инсталиран).

За информация за това как да управлявате LSC за телефона си, вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

Настройване на местно приложим сертификат (LSC)

Тази задача се прилага за настройване на LSC с метода на низ за удостоверяване.

Преди да започнете

Уверете се, че подходящите конфигурации за защита на Cisco Unified Communications Manager и прокси функция на органа за сертификати (CAPF) са завършени:

  • CTL или ITL файлът има CAPF сертификат.

  • В Cisco Unified Communications Operating System Administration проверете дали CAPF сертификатът е инсталиран.

  • CAPF работи и е конфигуриран.

За повече информация относно тези настройки вижте документацията за вашата конкретна версия на Cisco Unified Communications Manager.

1

Сдобийте се с кода за удостоверяване на CAPF, който е бил зададен при конфигурирането на CAPF.

2

На телефона натиснете Settings (Настройки) the Settings hard key.

3

Ако бъдете подканени, въведете паролата за достъп до менюто Настройки . Можете да получите паролата от вашия администратор.

4

Отидете до Настройки за мрежа и услуга > защита> LSC.

Можете да контролирате достъпа до менюто с настройки, като използвате полето Достъп до настройки в Cisco Unified Communications Manager Administration.

5

Въведете низа за удостоверяване и изберете Изпращане.

Телефонът започва да инсталира, актуализира или премахва LSC, в зависимост от това как е конфигуриран CAPF. Когато процедурата приключи, на телефона се показва „Инсталиран“ или „Неинсталиран“.

Процесът на инсталиране, актуализиране или премахване на LSC може да отнеме много време.

Когато процедурата за инсталиране на телефона е успешна, се показва съобщението Инсталиран. Ако телефонът показва Неинсталиран, тогава низът за упълномощаване може да е неправилен или надстройката на телефона може да не е активирана. Ако операцията CAPF изтрие LSC, телефонът показва Неинсталиран, за да покаже, че операцията е успешна. CAPF сървърът регистрира съобщенията за грешки. Вижте документацията на CAPF сървъра, за да намерите регистрационните файлове и да разберете значението на съобщенията за грешки.

Активиране на FIPS режим

1

В Cisco Unified Communications Manager Administration изберете Устройство > Телефон и намерете телефона.

2

Придвижете се до зоната Специфична конфигурация на продукт.

3

Задайте полето за FIPS режим на Активирано.

4

Изберете Запиши.

5

Изберете Прилагане на конфигурацията.

6

Рестартирайте телефона.

Изключване на високоговорител, слушалки и слушалка на телефон

Имате опции за постоянно изключване на високоговорителя, слушалките и слушалката на телефона за вашия потребител.

1

В Cisco Unified Communications Manager Administration изберете Устройство > Телефон и намерете телефона.

2

Придвижете се до зоната Специфична конфигурация на продукт.

3

Поставете отметка в едно или повече от следните квадратчета, за да изключите възможностите на телефона:

  • Деактивиране на високоговорителя
  • Деактивиране на говорителя и наушниците
  • Деактивиране на наушниците

По подразбиране тези квадратчета за отметка не са отметнати.

4

Изберете Запиши.

5

Изберете Прилагане на конфигурацията.

Удостов. с 802.1X

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

  • Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

  • Сървър за удостоверяване: Сървърът за удостоверяване и комутаторът трябва да бъдат конфигурирани със споделена тайна, която удостоверява телефона.

  • Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

  • Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

  • Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

    • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

      За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

  • Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
    • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
    • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
  • (Само за настолни телефони Cisco 9800 Series)

    Cisco Desk Phone 9800 Series има различен префикс в PID от този за другите телефони Cisco. За да позволите на телефона си да премине 802.1X удостоверяване, задайте Радиус· Параметър потребителско име , за да включите вашия настолен телефон Cisco 9800 Series.

    Например, PID на телефон 9841 е DP-9841; можете да зададете Радиус· Потребителско име за започване с DP или съдържа DP. Можете да го зададете и в двата от следните раздели:

    • Политика > Условия > Библиотечни условия

    • Правила > Правила за набори от правила> Правила за упълномощаване> Правило 1 за упълномощаване

Активиране на удостоверяване съгласно 802.1X

Можете да активирате удостоверяване съгласно 802.1X за вашия телефон, като изпълните следните стъпки:

1

Натиснете Настройкиthe Settings hard key.

2

Ако бъдете подканени, въведете паролата за достъп до менюто Настройки . Можете да получите паролата от вашия администратор.

3

Придвижете се до Настройки за мрежа и услуга > Защита > 802.1X Удостоверяване.

4

Включете IEEE 802.1X удостоверяването.

5

Изберете Прилагане.

Преглед на информация за настройките за защита на телефона

Можете да видите информацията за настройките за сигурност в менюто на телефона. Наличността на информацията зависи от мрежовите настройки във вашата организация.

1

Натиснете Настройкиthe Settings key.

2

Придвижете се до Настройки за мрежа и услуга >Защита.

3

В настройките зазащита прегледайте следната информация.

Таблица 4. Параметри за настройки за сигурност

Параметри

Описание

Защитен режим

Показва режима на сигурност, зададен за телефона.

LSC

Показва дали локално значим сертификат, който се използва за функции за защита, е инсталиран на телефона (Да), или не е инсталиран на телефона (Не).

Списък с доверие

Списъкът с доверие предоставя подменюта за файловете за CTL, ITL и подписани конфигурационни файлове.

Подменюто CTL File показва съдържанието на CTL файла. Подменюто ITL файл показва съдържанието на ITL файла.

Менюто Trust List (Списък с доверие) също показва следната информация:

  • CTL подпис: SHA1 хеш на CTL файла
  • Unified CM/TFTP сървър: името на Cisco Unified Communications Manager и TFTP сървъра, който телефонът използва. Показва икона на сертификат, ако сертификатът е инсталиран за този сървър.
  • CAPF сървър: името на CAPF сървъра, който телефонът използва. Показва икона на сертификат, ако сертификатът е инсталиран за този сървър.
  • SRST рутер: IP адресът на надеждния SRST рутер, който телефонът може да използва. Показва икона на сертификат, ако сертификатът е инсталиран за този сървър.

Защита на телефонните повиквания

Когато се прилага защита за телефон, можете да идентифицирате защитени телефонни повиквания с помощта на икони на екрана на телефона. Можете също да определите дали свързаният телефон е защитен и предпазен, ако в началото на повикването се възпроизведе тон за защита.

При защитено повикване всички сигнални и медийни потоци са шифровани. Защитеното повикване предлага високо ниво на защита, осигурявайки цялост и поверителност на повикването. Когато текущото обаждане е шифровано, можете да видите иконата за защита Иконата за заключване за защитено обаждане на линията. За защитен телефон можете също да видите удостоверената икона или криптираната икона до свързания сървър в менюто на телефона (Настройки > За това устройство).

Ако повикването се маршрутизира чрез етапи на повикването, които не са IP, например PSTN, повикването може да е незащитено, въпреки че е шифровано в мрежата на IP и има икона на катинар, свързана с нея.

При защитено повикване в началото на разговора се възпроизвежда тон за защита, който показва, че другият свързан телефон също получава и предава защитено аудио. Ако повикването ви се свърже с незащитен телефон, тонът за защита не се възпроизвежда.

Защитено повикване се поддържа само за връзки между два телефона. Някои функции, като например конферентни разговори и споделени линии, не са налични, когато е конфигурирано защитено повикване.

Когато телефонът е конфигуриран като защитен (криптиран и надежден) в Cisco Unified Communications Manager, може да му бъде даден защитен статус. След това, ако желаете, защитеният телефон може да бъде конфигуриран да възпроизвежда тон за индикация в началото на повикване:

  • Защитено устройство: за да промените състоянието на сигурен телефон на защитен, поставете отметка в полето за защитено устройство в прозореца за конфигуриране на телефона в Cisco Unified Communications Manager Administration (Устройство > Телефон).

  • Възпроизвеждане на тон за индикация на защита: за да позволите на защитения телефон да възпроизвежда тон за индикация на защитено или незащитено състояние, задайте настройката „Възпроизвеждане на тон за индикация на защита“ на True. По подразбиране възпроизвеждането на тон за индикация на защита е зададено на False. Задайте тази опция в Cisco Unified Communications Manager Administration (Система > Параметри на услугата). Изберете сървъра и след това услугата Unified Communications Manager. В прозореца за конфигуриране на параметър на услуга изберете опцията в зоната „Функция – Защитен тон“. Настройката по подразбиране е False.

Идентификация на защитен конферентен разговор

Можете да инициирате защитен конферентен разговор и да наблюдавате нивото на защита на участниците. Защитен конферентен разговор се установява чрез използване на този процес:

  1. Потребителят инициира конференцията от защитен телефон.

  2. Cisco Unified Communications Manager задава защитен конферентен мост към повикването.

  3. Докато участниците се добавят, Cisco Unified Communications Manager проверява режима на сигурност на всеки телефон и поддържа нивото на защита на конференцията.

  4. Телефонът показва нивото на защита на конферентния разговор. Защитена конференция показва защитената икона Иконата за заключване за защитено обаждане.

Поддържа се защитено повикване между два телефона. За защитени телефони някои функции, като конферентни разговори, споделени линии и Extension Mobility, не са налични, когато е конфигурирано защитено повикване.

Таблицата по-долу предоставя информация за промените в нивата на защита на конференцията в зависимост от нивото на защита на телефона на инициатора, нивата на защита на участниците и наличието на защитени конферентни мостове.

Таблица 5. Ограничения на защитата при конферентни разговори

Ниво на защита на телефона на инициатора

Използвана функция

Ниво на защита на участниците

Резултати от действието

Незащитен

Конферентен разговор

Защитен

Незащитен конферентен мост

Незащитена конференция

Защитен

Конферентен разговор

Поне един член е незащитен.

Защитен конферентен мост

Незащитена конференция

Защитен

Конферентен разговор

Защитен

Защитен конферентен мост

Защитена конференция на шифровано ниво

Незащитен

ПокКонф

Минималното ниво на защита е шифровано.

Инициаторът получава съобщение Не отговаря на нивото на защита, повикването е отхвърлено.

Защитен

ПокКонф

Минималното ниво на защита е незащитено.

Защитен конферентен мост

Конференцията приема всички повиквания.

Идентификация на защитено телефонно повикване

Защитено повикване се установява, когато телефонът ви и телефонът от другия край са конфигурирани за защитено повикване. Другият телефон може да бъде в същата мрежа на Cisco IP или в мрежа извън IP мрежата. Защитени повиквания могат да се извършват само между два телефона. Конферентните разговори трябва да поддържат защитено повикване след настройка на защитен конферентен мост.

Защитено повикване се установява с помощта на този процес:

  1. Потребителят инициира повикването от защитен телефон (защитен режим на сигурност).

  2. Телефонът показва иконата за защита Иконата за заключване за защитено обаждане на екрана на телефона. Тази икона показва, че телефонът е конфигуриран за защитени повиквания, но това не означава, че другият свързан телефон също е защитен.

  3. Потребителят чува тон на защита, ако повикването се свърже с друг защитен телефон, което показва, че двата края на разговора са шифровани и защитени. Ако повикването се свърже с незащитен телефон, потребителят не чува тона за защита.

Поддържа се защитено повикване между два телефона. За защитени телефони някои функции, като конферентни разговори, споделени линии и Extension Mobility, не са налични, когато е конфигурирано защитено повикване.

Само защитените телефони възпроизвеждат тези тонове за индикация за защитени или незащитени състояния. Незащитените телефони никога не възпроизвеждат тонове. Ако общото състояние на повикването се промени по време на разговора, тонът за индикацията се променя и защитеният телефон възпроизвежда подходящия тон.

Защитеният телефон възпроизвежда или не възпроизвежда тон при следните обстоятелства:

  • Когато опцията за възпроизвеждане на тон за индикация на защита е активирана:

    • Когато се установи цялостно защитена медия и състоянието на повикването е защитено, телефонът възпроизвежда тона за индикация на защита (три дълги звукови сигнала с паузи).

    • Когато се установи цялостно незащитена медия и състоянието на повикването е незащитено, телефонът възпроизвежда тона за индикация на незащитено състояние (шест кратки звукови сигнала с кратки паузи).

Ако опцията за възпроизвеждане на тон за индикация на защита е деактивирана, не се възпроизвежда тон.

Осигурете криптиране за шлепове

Cisco Unified Communications Manager проверява състоянието на сигурността на телефона, когато се установят конференции, и променя индикацията за сигурност за конференцията или блокира завършването на разговора, за да поддържа целостта и сигурността в системата.

Потребителят не може да нахлуе в шифровано повикване, ако телефонът, който се използва за нахлуване, не е конфигуриран за шифроване. Когато шлепът се провали в този случай, на телефона се възпроизвежда тон за пренареждане (бързо зает), че шлепът е иницииран.

Ако инициаторът на телефона е конфигуриран за криптиране, инициаторът на шлепа може да нахлуе в незащитено повикване от криптирания телефон. След като шлепът се случи, Cisco Unified Communications Manager класифицира обаждането като незащитено.

Ако телефонът инициатор е конфигуриран за шифроване, инициаторът на шлепа може да нахлуе в криптирано повикване и телефонът показва, че повикването е шифровано.

WLAN защита

Този раздел е приложим само за модели телефони с възможност за Wi-Fi.

WLAN защита

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че натрапниците не манипулират или прихващат гласовия трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решението за безжична IP телефония на Cisco осигурява сигурност на безжичната мрежа, която предотвратява неоторизирани влизания и компрометирани комуникации, като използва следните методи за удостоверяване, които телефонът поддържа:

  • Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е криптирана.

  • Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез защитено тунелиране (EAP-FAST) Удостоверяване: Тази архитектура за сигурност клиент-сървър криптира EAP транзакциите в рамките на тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

    Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

    В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжичен EAP-TLS клиентският сертификат може да бъде MIC, LSC или инсталиран от потребителя сертификат.

  • Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

  • Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:

    ASCII: низ с ASCII знаци с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

    Пример: GREG123567@9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

  • WPA/WPA2/WPA3: Използва информация за RADIUS сървъра за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

  • Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с активиран FT за бързо и сигурно повторно удостоверяване. Cisco Desk Phone 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздуха, така и над DS, за да се позволи бърз сигурен роуминг. Но ние силно препоръчваме да използвате метода 802.11r (FT) по въздуха.

С WPA/WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извличат между AP и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за криптиране. Когато тези механизми се използват за криптиране, както сигналните SIP пакети, така и гласовите пакети на Real-Time Transport Protocol (RTP) се криптират между AP и телефона.

TKIP

WPA използва TKIP криптиране, което има няколко подобрения в сравнение с WEP. TKIP осигурява шифриране на ключове на пакет и по-дълги вектори за инициализация (IV), които засилват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, която помага на нарушителите да дешифрират WEP ключа.

AES

Метод за криптиране, използван за удостоверяване на WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има същия ключ за шифроване и дешифроване. AES използва шифроване на верига за блокиране на шифър (CBC) с размер 128 бита, което поддържа ключови размери от 128 бита, 192 бита и 256 бита, като минимум. Телефонът поддържа размер на клавиша от 256 бита.

Cisco Desk Phone 9861 и 9871 и Cisco Video Phone 8875 не поддържат Cisco Key Integrity Protocol (CKIP) с CMIC.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверяват успешно, трябва да конфигурирате същите SSID с техните схеми за удостоверяване и шифроване на точки за достъп и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

  • Когато използвате предварително споделен ключ WPA, предварително споделен ключ WPA2 или SAE, предварително споделеният ключ трябва да бъде статично зададен на телефона. Тези ключове трябва да съответстват на ключовете, които са на AP.

  • Телефонът поддържа автоматично договаряне на EAP за FAST или PEAP, но не и за TLS. За режим EAP-TLS трябва да го посочите.

Схемите за удостоверяване и шифроване в таблицата по-долу показват опциите за мрежова конфигурация за телефона, който съответства на конфигурацията на AP.

Таблица 6. Схеми за удостоверяване и шифроване
Тип FSRУдостоверяванеУправление на ключШифрованеЗащитена рамка за управление (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНе
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНе
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа

Конфигуриране на профил на безжичен LAN

Можете да управлявате профила си в безжична мрежа, като конфигурирате идентификационни данни, честотна лента, метод на удостоверяване и т.н.

Имайте предвид следните бележки, преди да конфигурирате WLAN профил:

  • Потребителско име и парола

    • Когато вашата мрежа използва EAP-FAST и PEAP за удостоверяване на потребителя, трябва да конфигурирате както потребителското име, така и паролата, ако е необходимо, в потребителска услуга за отдалечено удостоверяване чрез набиране (RADIUS) и телефона.

    • Данните за вход, които въвеждате в профила на безжичен LAN, трябва да са идентични с данните за вход, които сте конфигурирали на RADIUS сървъра.

    • Ако използвате домейни във вашата мрежа, трябва да въведете потребителското име с името на домейна, във формат: domain\username.

  • Следните действия могат да доведат до изчистване на съществуващата парола за Wi-Fi:

    • Въвеждане на невалиден потребителски ИД или парола
    • Инсталиране на невалиден или изтекъл Root CA, когато типът EAP е зададен на PEAP-MSCHAPV2 или PEAP-GTC
    • Деактивиране на използвания тип EAP на сървъра RADIUS, преди да превключите телефона на новия тип EAP
  • За да промените типа EAP, уверете се, че първо сте активирали новия тип EAP на RADIUS сървъра, след което превключете телефона на EAP типа. Когато всички телефони са променени на новия тип EAP, можете да деактивирате предишния тип EAP, ако желаете.
1

В Cisco Unified Communications Manager Administration изберете Устройство > Настройки на устройството > Профил на безжичен LAN.

2

Изберете мрежовия профил, който искате да конфигурирате.

3

Настройте параметрите.

4

Щракнете върху Запиши.

Ръчно инсталиране на сертификат на сървър за удостоверяване

Можете ръчно да инсталирате сертификат на сървъра за удостоверяване на телефона, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.

Сертификатът на главния CA, който е издал сертификата на сървъра RADIUS, трябва да бъде инсталиран за EAP-TLS.

Преди да започнете

Преди да можете да инсталирате сертификат на телефон, трябва да имате записан сертификат на сървъра за удостоверяване на вашия компютър. Сертификатът трябва да бъде кодиран в PEM (Base-64) или DER.

1

От уеб страницата за администриране на телефона изберете Сертификати.

2

Намерете полето Сертифициращ орган (CA) за сървъра за удостоверяване и щракнете върху Инсталиране.

3

Намерете сертификата на вашия компютър.

4

Щракнете върху Качване на файл.

5

Рестартирайте телефона, след като качването приключи.

Ако преинсталирате повече от един сертификат, ще се използва само последният инсталиран.

Ръчно инсталиране на потребителски сертификат

Можете ръчно да инсталирате потребителски сертификат на телефона, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.

Предварително инсталираният сертификат за производствена инсталация (MIC) може да се използва като потребителски сертификат за EAP-TLS.

След като се инсталира потребителският сертификат, добавете го към надеждния списък на RADIUS сървъра.

Преди да започнете

Преди да можете да инсталирате потребителски сертификат за телефон, трябва да имате:

  • Потребителски сертификат, записан на вашия компютър. Сертификатът трябва да бъде във формат PKCS #12.

  • Паролата за извличане на сертификата.

    Тази парола може да бъде дълга до 16 знака.

1

От уеб страницата за администриране на телефона изберете Сертификати.

2

Намерете полето Инсталиран от потребителя и щракнете върху Инсталиране.

3

Намерете сертификата на вашия компютър.

4

В полето Извличане на парола въведете паролата за извличане на сертификат.

5

Щракнете върху Качване на файл.

6

Рестартирайте телефона, след като качването приключи.

Ръчно премахване на сертификат на защитата

Можете ръчно да премахнете сертификат на защитата от телефон, ако Simple Certificate Enrollment Protocol (SCEP) не е наличен.

1

От уеб страницата за администриране на телефона изберете Сертификати.

2

Намерете сертификата на страницата Сертификати.

3

Щракнете върху Изтриване.

4

Рестартирайте телефона, след като процесът на изтриване завърши.

Конфигуриране на параметрите на SCEP

Simple Certificate Enrollment Protocol (SCEP) е стандартът за автоматично осигуряване и подновяване на сертификати. SCEP сървърът може автоматично да поддържа вашите потребителски и сървърни сертификати.

Трябва да конфигурирате следните параметри на SCEP на уеб страницата на телефона си

  • RA IP адрес

  • SHA-1 или SHA-256 отпечатък на главния CA сертификат за SCEP сървъра

Органът за регистрация на Cisco IOS (RA) служи като прокси на SCEP сървъра. SCEP клиентът на телефона използва параметрите, които се изтеглят от Cisco Unified Communication Manager. След като конфигурирате параметрите, телефонът изпраща SCEP getcs заявка до RA и основният CA сертификат се валидира с помощта на дефинирания пръстов отпечатък.

Преди да започнете

На SCEP сървъра конфигурирайте агента за регистрация (RA) на SCEP да:

  • Действа като доверителна точка PKI
  • Действа като PKI RA
  • Извършва удостоверяване на устройство с помощта на RADIUS сървър

За повече информация вижте документацията на вашия SCEP сървър.

1

От Cisco Unified Communications Manager Administration изберете Устройство > Телефон.

2

Намерете телефона.

3

Превъртете до зоната Оформление на специфичната конфигурация на продукта.

4

Поставете отметка в квадратчето WLAN SCEP сървър , за да активирате параметъра SCEP.

5

Поставете отметка в полето WLAN главен CA отпечатък (SHA256 или SHA1), за да активирате параметъра SCEP QED.

Настройване на поддържаните версии на TLS

Можете да зададете минималната версия на TLS, необходима съответно за клиент и сървър.

По подразбиране минималната версия на TLS на сървъра и клиента е 1.2. Настройката оказва влияние върху следните функции:

  • HTTPS връзка за уеб достъп
  • Включване за локален телефон
  • Включване за мобилен и Remote Access (MRA)
  • HTTPS услуги, като например справочните услуги
  • Сигурност на транспортния слой на дейтаграмата (DTLS)
  • Обект за достъп до порт (PAE)
  • Разширяема защита на протокола за удостоверяване и транспортния слой (EAP-TLS)

За повече информация относно съвместимостта на TLS 1.3 за Cisco IP Phones вижте TLS 1.3 Compatibility Matrix for Cisco Collaboration Products.

1

Влезте като администратор в Cisco Unified Communications Manager.

2

Придвижете се до един от следните прозорци:

  • Система > Корпоративна конфигурация на телефон
  • Настройки на устройството > Устройство> Общ профил на телефона
  • Конфигурация на устройство > телефон > телефон
3

Настройте полето "Минимална версия на TLS клиент":

Опцията "TLS 1.3" е налична на Cisco Unified CM 15SU2 или по-нова версия.
  • TLS 1.1: TLS клиентът поддържа версиите на TLS от 1.1 до 1.3.

    Ако версията на TLS в сървъра е по-ниска от 1.1, например 1.0, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): TLS клиентът поддържа TLS 1.2 и 1.3.

    Ако версията на TLS в сървъра е по-ниска от 1.2, например 1.1 или 1.0, тогава връзката не може да бъде установена.

  • TLS 1.3: TLS клиентът поддържа само TLS 1.3.

    Ако версията на TLS в сървъра е по-ниска от 1.3, например 1.2, 1.1 или 1.0, тогава връзката не може да бъде установена.

4

Настройте полето "Минимална версия на TLS сървъра":

  • TLS 1.1: TLS сървърът поддържа версиите на TLS от 1.1 до 1.3.

    Ако версията на TLS в клиента е по-ниска от 1.1, например 1.0, тогава връзката не може да бъде установена.

  • TLS 1.2 (по подразбиране): TLS сървърът поддържа TLS 1.2 и 1.3.

    Ако версията на TLS в клиента е по-ниска от 1.2, например 1.1 или 1.0, тогава връзката не може да бъде установена.

  • TLS 1.3: TLS сървърът поддържа само TLS 1.3.

    Ако версията на TLS в client е по-ниска от 1.3, например 1.2, 1.1 или 1.0, тогава връзката не може да бъде установена.

От версията на PhoneOS 3.2 настройката на полето "Деактивиране на TLS 1.0 и TLS 1.1 за уеб достъп" не засяга телефоните.
5

Щракнете върху Запиши.

6

Щракнете върху Прилагане на конфигурацията.

7

Рестартирайте телефоните.

Гарантирани услуги SIP

Assured Services SIP (AS-SIP) е колекция от функции и протоколи, които предлагат високо сигурен поток от разговори за Cisco IP Phones и телефони на трети страни. Следните функции са известни общо като AS-SIP:

  • Многостепенен приоритет и предимство (MLPP)
  • Кодова точка за диференцирани услуги (DSCP)
  • Сигурност на транспортния слой (TLS) и сигурен транспортен протокол в реално време (SRTP)
  • Интернет протокол версия 6 (IPv6)

AS-SIP често се използва с многостепенен приоритет и изпреварване (MLPP) за приоритизиране на повикванията по време на спешен случай. С MLPP присвоявате ниво на приоритет на изходящите си повиквания, от ниво 1 (ниско) до ниво 5 (високо). Когато получите повикване, на телефона се показва икона на ниво на приоритет, която показва приоритета на повикването.

За да конфигурирате AS-SIP, изпълнете следните задачи в Cisco Unified Communications Manager:

  • Конфигуриране на Digest User—Конфигурирайте крайния потребител да използва digest удостоверяване за SIP заявки.
  • Конфигуриране на SIP Phone Secure Port—Cisco Unified Communications Manager използва този порт, за да слуша SIP телефони за регистрации на SIP линии през TLS.
  • Рестартиране на услуги – След като конфигурирате защитения порт, рестартирайте услугите Cisco Unified Communications Manager и Cisco CTL Provider. Конфигуриране на SIP профил за AS-SIP - Конфигурирайте SIP профил със SIP настройки за вашите AS-SIP крайни точки и за вашите SIP канали. Специфичните за телефона параметри не се изтеглят на AS-SIP телефон на трета страна. Те се използват само от Cisco Unified Manager. Телефоните на трети страни трябва локално да конфигурират същите настройки.
  • Конфигуриране на профил за защита на телефона за AS-SIP – Можете да използвате профила за защита на телефона, за да зададете настройки за защита, като например TLS, SRTP и обобщено удостоверяване.
  • Конфигуриране на AS-SIP крайна точка – Конфигурирайте Cisco IP Phone или крайна точка на трета страна с поддръжка на AS-SIP.
  • Свързване на устройство с краен потребител – Свържете крайната точка с потребител.
  • Конфигуриране на профил за защита на SIP trunk за AS-SIP – Можете да използвате профила за защита на sip trunk, за да присвоите функции за защита, като например TLS или digest удостоверяване на SIP канал.
  • Конфигуриране на SIP trunk за AS-SIP – Конфигурирайте SIP trunk с поддръжка на AS-SIP.
  • Конфигуриране на AS-SIP функции – Конфигурирайте допълнителни AS-SIP функции, като MLPP, TLS, V.150 и IPv6.

За подробна информация относно конфигурирането на AS-SIP вижте главата "Конфигуриране на крайни точки на AS-SIP" в Ръководството за конфигуриране на функции за Cisco Unified Communications Manager.

Многостепенен приоритет и изземване

Многостепенен приоритет и изземване (MLPP) ви позволява да приоритизирате повикванията по време на извънредни ситуации или други кризисни ситуации. Задавате приоритет на изходящите си повиквания, които варират от 1 до 5. Входящите повиквания показват икона и приоритет на повикването. Удостоверените потребители могат да изпреварват обаждания или към целеви станции, или чрез напълно абонирани TDM канали.

Тази способност осигурява комуникация на високопоставения персонал с критични организации и персонал.

MLPP често се използва с Assured Services SIP (AS-SIP). За подробна информация относно конфигурирането на MLPP вижте главата Конфигуриране на многостепенен приоритет и изземване в Ръководството за конфигуриране на функции за Cisco Unified Communications Manager.

Настройване на FAC и CMC

Когато кодовете за принудително оторизация (FAC) или кодовете за клиентски въпроси (CMC), или и двете са конфигурирани на телефона, потребителите трябва да въведат необходимите пароли, за да наберат номер.

За повече информация относно това как да настроите FAC и CMC в Cisco Unified Communications Manager, вижте главата "Кодове за клиентски въпроси и кодове за принудително оторизация" в Ръководство за конфигуриране на функции за Cisco Unified Communications Manager, Release 12.5 (1) или по-нова версия.